Este artigo foi escrito e publicado pela empresa BigID em abril de 2021. O conceito é voltado para o artigo 30 RoPA do GDPR – RoPA (Record Of Processing Activities), que significa Registros das Atividades de Tratamento, mas é aderente ao mercado brasileiro para a conformidade da própria GDPR e para a LGPD – Lei Geral de Proteção de Dados.
Em 2021, a privacidade de dados tornou-se novamente um tema quente de conversa dentro da organização – em vários departamentos. Isso porque o gerenciamento incorreto de dados tem um efeito duradouro, já que as violações de dados continuam a manchar a reputação da marca e impactar negativamente a confiança do consumidor. A importância dos dados não pode ser subestimada, pois está enraizada no DNA de todas as empresas hoje. E, como o DNA, as empresas podem armazenar grandes quantidades de informações.
Mas, como qualquer sequência de DNA, como desbloquear os dados para mapear essa informação para uma pessoa específica?
Para DNA de negócios, as organizações precisam implementar um processo que mapeia dados para uma pessoa específica , identifica mudanças no proprietário dos dados, onde os dados são armazenados e por que foram coletados em primeiro lugar. Também é necessário aprofundar os dados o suficiente para que a avaliação possa confirmar ou descartar qualquer risco comercial suspeito.
Manter um registro das atividades de processamento de dados permite que as organizações tomem as ações necessárias para proteger os consumidores, gerenciar a conformidade e manter uma reputação de marca saudável.
Registro de Atividades de Processamento: Desbloqueando DNA Empresarial
Registros de atividades de processamento, também conhecidos como RoPA, é um requisito de manutenção de registros de dados para que as organizações contabilizem com precisão todos os dados de identidade processados em toda a empresa. Existem, no entanto, vários desafios na manutenção de registros de atividades de processamento para atender à conformidade regulamentar:
- Entrada manual: o uso de pesquisas, entrevistas e documentação manual não é confiável e está rapidamente desatualizado.
- Colaboração de negócios: conforme os dados se espalham pela organização, a identificação dos proprietários dos dados e dos processos de negócios pode ser difícil e demorada.
- Desafios de conformidade: pode não estar claro como estimar o risco dentro de um processo de negócios (compartilhamento de terceiros), pois ele pode mudar mais rápido do que a atualização do RoPA.
Regulamentações que remodelam o DNA da empresa
Desde o início do GDPR, o Artigo 30 trouxe a responsabilidade e a transparência para o primeiro plano, pois o regulamento exige que os controladores e processadores criem e mantenham um Registro das Atividades de Processamento. Agora, os controladores e processadores devem fornecer uma quantidade substancial de informações sobre os dados coletados, incluindo:
- nome completo
- Informações de Contato
- categorias de titulares de dados e destinatários
- informações sobre compartilhamento de dados com terceiros
- políticas de retenção e exclusão
- finalidade das atividades de processamento de dados
- ações de proteção de dados
Se uma organização não pode validar como os dados são processados, é improvável que possa atender aos requisitos. As organizações devem colaborar com os negócios e sistemas para construir um inventário de processos de dados bem documentado . Além disso, outro componente crítico para manter um registro das atividades de processamento é a identificação do risco associado ao compartilhamento de dados de terceiros . Um elemento essencial de transparência no GDPR – o Artigo 30 e o California Privacy Rights Act (CPRA) exige que as empresas relatem com quais terceiros compartilharam dados e a relação comercial associada a esses dados.
Automação de processamento de dados desbloqueia DNA empresarial (rapidamente !!!)
A abordagem proativa envolve a identificação de dados pessoais e revisão de políticas, contratos, acordos e procedimentos para alinhar com o negócio geral. É incrivelmente complicado sem um processo padrão e um fluxo de trabalho de processamento de dados. É hora e consistência ao relatar sobre RoPA e, sem automação , esta pode ser uma tarefa assustadora que pode levar semanas ou até meses para mapear os dados corretos. O aplicativo BigID Data Processing and Sharing simplifica o processo, permitindo que as equipes colaborem perfeitamente para documentar todas as atividades de processamento de dados e reduzir o risco geral de conformidade contínua .
Com o aplicativo de compartilhamento e processamento de dados do BigID , as empresas podem:
- Aproveitar a Centralização dos Painéis: Todos os processos de negócios são gerenciados em um painel central para observar KPIs, atualizações de status e notificações de ação.
- Economizar tempo: reduza o tempo gasto no processo manual e trabalhoso com fluxos de dados automatizados.
- Manter a conformidade contínua: Receba insights em tempo real quando o BigID encontrar dados relacionados a cada processo de negócios antes que a conformidade se torne um problema.
- Enriquecer os dados: definir seu processo para RoPA enriquece seu catálogo de dados com metadados de negócios , como termos de glossário , categorias, finalidades de uso e tags
- Reduzir o risco: uma abordagem baseada em risco com recursos de governança de dados estima e avalia o risco de privacidade do RoPA para entender se o PIA / DPIA é necessário para cada processo de negócios.
- Relatório sobre regulamentações: crie facilmente relatórios regulamentares digeríveis para conformidade com o Artigo 30 do GDPR e CPRA , incluindo infográficos e estatísticas.
À medida que os reguladores ficam mais rígidos em fornecer prova de conformidade, as organizações precisam ser guardiãs de dados totalmente responsáveis pelos dados de seus clientes e funcionários. Além disso, conforme surgem novas regulamentações de privacidade, as organizações precisam criar programas de privacidade para se tornarem compatíveis com essas novas leis.
Dúvidas sobre automação de processamento de dados?
Seria melhor se você tivesse as respostas a estas perguntas sobre cada atividade de processamento de dados pessoais:
- Como você processa dados pessoais?
- Por que você usa dados pessoais?
- Sobre quem você guarda informações?
- Que informações são mantidas sobre eles?
- Com quem os dados são compartilhados?
- Você usa algum provedor de serviço externo?
- Por quanto tempo você armazena dados?
- Como você mantém os dados seguros?
- Quais processos de negócios ocorrem em seu departamento?
- Você está mapeando manualmente suas atividades de processamento de dados?
- Você pode relatar sobre compartilhamento de dados de terceiros?
- Você está em conformidade com os regulamentos de privacidade de dados ?
Existem várias partes móveis para documentar um RoPA – e elas podem ser tratadas desenvolvendo um programa de privacidade que irá automatizar a descoberta , classificação e mapeamento de dados para determinar o quê, como e quando os dados são processados.
Saiba mais sobre como o BigID pode ajudar sua empresa a automatizar a conformidade regulatória (Artigo 30 do GDPR, CCPA) criando um ROPA preciso e eficiente.
Sobre BigID
A plataforma de inteligência de dados do BigID permite que as organizações conheçam seus dados corporativos e tomem medidas para privacidade, proteção e perspectiva.
Os clientes implantam o BigID para descobrir, gerenciar, proteger e obter mais valor de forma proativa de seus dados regulamentados, confidenciais e pessoais em todo o seu cenário de dados.
A BigID está sediada na cidade de Nova York e possui escritórios em todo o mundo – fundada por veteranos da indústria de segurança que abrangem os mercados de identidade, segurança de dados, big data e governança.
Fonte: BigID
Leia mais sobre Privacidade e Proteção de Dados em nossa coluna dedicada a esse tema. São artigos sobre o que acontece no Brasil e no Mundo. Aqui!
- A Urgência da Proteção de Infraestruturas Críticas: Uma Análise da Entrevista de Sergio Muniz à Exame
- Personalização e segurança para a criação de documentos com IA: conheça a nova solução doc9
- Webinar gratuito revela como se preparar para participar do projeto da moeda digital do Banco Central previsto para 2025
- Banco Central abre consulta pública sobre prestadoras de serviço de ativos virtuais (VASPS)
- Visa elenca as principais fraudes durante a Black Friday no Brasil